BAS入侵和攻擊模擬實踐

一、前言

在2017年Gartner定義了BAS入侵和攻擊模擬這個類別。在Gartner的定義中，BAS（Breach and Attack Simulation）是通過不斷模擬針對不同資產的攻擊，驗證安全防護的有效性。

目前，經過幾年的發展，國外BAS技術已經相對成熟，在2021年Gartner釋出的安全運營技術成熟度曲線中，BAS仍處於高市場預期的熱門賽道。近兩年，國內BAS廠商也不斷湧現，隨著技術的不斷成熟，BAS未來或將成為主流的安全風險檢測技術。

二、背景

1、什麼是Breach and Attack Simulation (BAS)？

Breach and Attack Simulation (BAS)翻譯過來就是入侵與模擬攻擊Gartner 將 BAS 稱為“頂級安全和風險管理趨勢”，BAS 是一項新興技術，它可以按需自動模擬企業的複雜網路來進行攻擊，幫助測試企業系統的安全。 它不像普通的自動化滲透測試工具，BAS可以自動模擬資料洩露、對組織電子郵件系統的網路釣魚攻擊、對端點的惡意軟體攻擊，甚至是網路內的橫向移動等，它可以執行各種破壞和攻擊模擬。

2、我們為什麼要做BAS？

    a. 紅隊安全的預模擬階段通常是最漫長和最重要的部分。首先需要考慮多久執行一次紅藍對抗它們可以每年、每六個月、每季度、每月或其他頻率舉行一次，而且這種紅藍隊測試需要安排大量人員，那麼時間、人員、金錢上會消耗大量成本。如果通過BAS進行ATT&CK模擬入侵，這樣在人員、時間、金錢上可以節省很多成本。

    b. 在紅藍對抗中是有規定靶標資產，實際的對抗攻擊需要不斷的去探索下一個突破口，這難免會探測到我們靶標以外的資產，BAS可以通過下定點的方法，P2P進行攻擊。

    c. 隨著資料安全法的釋出，資料安全也成為重點關注問題，在ATT&CK攻擊時可能會導致我們的憑據和資料的洩漏，BAS可以在內網中部署執行，這樣可以避免資料洩漏的情況。

    d. 隨著近5年資訊保安建設工作的有序推進，我司資訊保安防禦水平有較大提升，公司部署大量安全裝置，進行模擬攻擊可以來檢驗安全運營的有效。因為安全系統需要不斷升級以應對新的和高階的安全威脅，並且必須定期對這些升級後的系統進行測試，來檢驗它們是否甚至可以對抗潛在的網路安全威脅。

    e. 隨著組織遷移到雲或考慮替代本地基礎架構，作為一項新技術，bas可以部署到大多數基礎設施或網路段。

    f. 防止第三方紅藍對抗人員不講武德。

三、 實踐

1、確認風險點

a.BAS 工具及其頻繁的測試（包括突襲模擬）會增加安全警報的數量。這會使他們難以區分非常重要的警報和 BAS 測試生成的警報。

b.模擬攻擊觸發的響應操作可能會使生產系統離線或減慢操作速度。

2、針對風險點的防禦措施

a.記錄好模擬的ip地址，在模擬之前提前報備ip，防止產生沒必要的響應。

b.在每個模擬的位置新增虛擬靶機,實現點對點無害模擬。

3、怎麼去模擬

對於場景也區分為內網場景和公網場景。

1）針對外網

a.模擬作業系統、應用軟體、Web應用、中介軟體、元件等漏洞利用場景，每種場景至少包含5種繞過手法。

a.通過郵件、社交軟體等平臺模擬社工投遞病毒樣本的釣魚場景，每種場景至少包含3種繞過手法。

2）針對內網

a.模擬突破邊界後上傳webshell、記憶體馬、後門等黑客工具等場景，每種場景至少使用3種繞過手法。

b.模擬突破邊界後建立隧道場景，至少使用3種協議建立隧道。

c.模擬作業系統、應用軟體、Web應用、中介軟體、元件等漏洞利用場景，每種場景至少包含5種繞過手法。

d.使用內網掃描工具模擬內網埠掃描、資產發現、口令掃描、漏洞掃描等場景，每種場景至少包含3種繞過手法。

e.模擬內網資訊收集場景對內網的wiki，磁碟，瀏覽器、郵箱等進行上傳或下載等資訊收集動作，每種場景至少包含3種繞過手法。

f.模擬內網釣魚場景，至少使用3種以上內網釣魚場景，每種場景至少包含3種繞過手法。

g.模擬對程式碼倉庫程式碼上傳、下載、篡改等場景。

h.模擬批量指令下發場景，至少使用3種命令繞過手法。

i.至少模擬5種橫向滲透攻擊場景，每種場景至少包含3種繞過手法。

j.模擬訪問跨域場景。

四、 最後

每個公司都有自己不同的需求點，我這邊僅是根據公司想要的需求進行模擬。 首先是鎖定需要模擬的安全裝置，然後根據覆蓋率，健康度，有效性三方面去開展。歡迎留言共享想法:bulb: